California Consumer Privacy Act

CCPA & CPRA Compliance leicht gemacht

Kaliforniens umfassendes Datenschutzgesetz schuetzt 40 Millionen Einwohner mit strengen Verbraucherrechten und Geschaeftspflichten. Wir helfen Ihnen, konforme Datenpraktiken umzusetzen, auf Rechtsanfragen zu reagieren und CPPA-Durchsetzungsmassnahmen zu vermeiden.

Compliance-Bewertung startenCompliance-Beratung buchen

Was ist CCPA/CPRA?

Der California Consumer Privacy Act (CCPA), verabschiedet 2018 und in Kraft seit dem 1. Januar 2020, schuf umfassende Datenschutzrechte fuer kalifornische Einwohner. Der California Privacy Rights Act (CPRA), verabschiedet 2020, hat den CCPA mit Aenderungen ab dem 1. Januar 2023 erheblich verstaerkt.

Warum das jetzt wichtig ist: CPRA hat die California Privacy Protection Agency (CPPA) geschaffen, Kaliforniens dedizierte Datenschutzbehoerde mit Durchsetzungsbefugnis. Die erweiterten Anforderungen umfassen neue Verbraucherrechte, Schutz sensibler PI und KI-Offenlegungspflichten.

40 Mio. geschuetzt

Abgedeckte kalifornische Einwohner

7.500 $ max.

Pro vorsaetzlichem Verstoss

Ergaenzt die DSGVO fuer globale Datenschutz-Compliance und integriert sich mit dem EU AI Act fuer KI-Governance.

Wer benoetigt CCPA-Compliance?

Kalifornische Umsatzschwelle

Jaehrlicher Bruttoumsatz ueber 25 Millionen Dollar

Datenvolumen-Schwelle

Kauf, Verkauf oder Weitergabe von Daten von 100.000+ Verbrauchern/Haushalten

Umsatz aus Datenverkaeufen

50 %+ des Jahresumsatzes aus dem Verkauf von Verbraucher-PI

Unternehmen, die Daten kalifornischer Einwohner verarbeiten

Geschaeftstaetigkeit in Kalifornien mit Verbraucherdaten

Dienstleister

Verarbeitung von PI im Auftrag von betroffenen Unternehmen

Dritte

Empfang von PI von Unternehmen durch Verkauf/Weitergabe

Wie VerifyWise die CCPA-Compliance unterstuetzt

Umfassende Tools fuer Verbraucherrechte, Geschaeftspflichten und CPPA-Durchsetzungsrisiken

Verwaltung von Verbraucherrechtsanfragen

Automatisierte Workflows zur Bearbeitung von Kenntnis-, Loeschungs-, Korrektur-, Opt-out- und Einschraenkungsanfragen innerhalb gesetzlicher Fristen. Verfolgung von Verifizierungsmethoden, Antwortzeiten und vollstaendigen Audit-Trails fuer CPPA-Compliance.

Adressiert: Recht auf Kenntnis, Loeschung, Korrektur, Opt-out, Einschraenkung

Datenbestand und -kartierung

Umfassendes Register der Kategorien personenbezogener Informationen, Erhebungsquellen, Geschaeftszwecke und Weitergabe an Dritte. Fuehren Sie die detaillierten Datenkarten, die CCPA fuer Hinweispflichten erfordert.

Adressiert: Datenschutzhinweis-Offenlegungen, Datenbestandsanforderungen

Erstellung und Verwaltung von Datenschutzhinweisen

Erstellen Sie CCPA-konforme Datenschutzhinweise, die Erhebungspraktiken, Verbraucherrechte und Kontaktdaten klar offenlegen. Versionskontrolle gewaehrleistet historische Compliance-Dokumentation.

Adressiert: Hinweisanforderungen gemaess 1798.100-130

Verfolgung automatisierter Entscheidungstechnologie (ADMT)

Registrieren Sie KI-Systeme, die fuer Profiling und automatisierte Entscheidungen verwendet werden. Dokumentieren Sie Logik, Bedeutung und Opt-out-Mechanismen gemaess den ADMT-Bestimmungen des CPRA.

Adressiert: CPRA 1798.185(a)(16) ADMT-Vorschriften

Dokumentation von Sicherheitsmassnahmen

Verfolgen Sie angemessene Sicherheitsverfahren zum Schutz personenbezogener Informationen. Dokumentieren Sie technische, administrative und physische Kontrollen, die die Einhaltung der Sicherheitspflichten nachweisen.

Adressiert: Sicherheitsanforderungen gemaess 1798.150

Aufsicht ueber Dritte und Dienstleister

Fuehren Sie Lieferantenvertraege mit erforderlichen CCPA-Bestimmungen. Ueberwachen Sie Verarbeitungsaktivitaeten Dritter und dokumentieren Sie die Einhaltung der Dienstleisterbeschraenkungen.

Adressiert: Dienstleisteranforderungen gemaess 1798.140(w)

Alle Verbraucheranfragen werden mit Zeitstempeln, Verifizierungsprotokollen, Antwortdaten und Audit-Trails versehen. Diese Dokumentation demonstriert gutglaeubige Compliance-Bemuehungen bei CPPA-Untersuchungen.

Vollstaendige CCPA/CPRA-Anforderungsabdeckung

VerifyWise adressiert alle wesentlichen Compliance-Bereiche mit speziellen Workflows

23

CCPA/CPRA-Anforderungen

23

Anforderungen mit Plattformunterstuetzung

100%

Abdeckung aller Pflichten

Verbraucherrechte8/8

Kenntnis, Loeschung, Opt-out, Korrektur, Einschraenkung

Geschaeftspflichten6/6

Datenschutzhinweise, Datenminimierung, Sicherheit

ADMT-Compliance4/4

Offenlegungen automatisierter Entscheidungsfindung

Datenbestand5/5

Kategorien, Quellen, Zwecke, Weitergabe

Von Grund auf fuer kalifornisches Datenschutzrecht entwickelt

45-Tage-Fristenverfolgung

Automatische Erinnerungen fuer gesetzliche Antwortfristen

ADMT-Offenlegungs-Engine

Compliance-Verfolgung automatisierter Entscheidungstechnologie

Universelle Opt-out-Signale

Global Privacy Control und Browser-Signal-Erkennung

Multi-Gesetzes-Compliance

DSGVO, EU AI Act und bundesstaatliche Datenschutzgesetz-Integration

Verbraucherrechte nach CCPA/CPRA

Sechs Kernrechte, die kalifornische Einwohner ausueben koennen

Recht auf Kenntnis

Verbraucher koennen die Offenlegung der Kategorien und spezifischen personenbezogenen Informationen verlangen, die erhoben wurden.

Wesentliche Anforderungen

  • 12-Monats-Rueckblick
  • Zweimal jaehrlich kostenlos
  • 45-Tage-Antwort (+ 45 Verlaengerung)

Recht auf Loeschung

Verbraucher koennen die Loeschung personenbezogener Informationen mit bestimmten Ausnahmen verlangen.

Wesentliche Anforderungen

  • Identitaet verifizieren
  • Dienstleister anweisen
  • Ausnahmen dokumentieren

Recht auf Opt-out

Opt-out aus dem Verkauf/der Weitergabe personenbezogener Informationen und gezielter Werbung.

Wesentliche Anforderungen

  • Do-Not-Sell-Link
  • Universelle Opt-out-Signale
  • Keine Diskriminierung

Recht auf Korrektur

Korrektur unrichtiger personenbezogener Informationen verlangen (CPRA-Ergaenzung).

Wesentliche Anforderungen

  • Korrekturen verifizieren
  • 45-Tage-Antwort
  • Dritte benachrichtigen

Recht auf Einschraenkung

Nutzung und Offenlegung sensibler personenbezogener Informationen einschraenken (CPRA-Ergaenzung).

Wesentliche Anforderungen

  • Link zur Einschraenkung der Erhebung
  • Sensible Datennutzungen
  • Hinweisanforderungen

Recht auf Nichtdiskriminierung

Unternehmen duerfen nicht diskriminieren, wenn Verbraucher ihre CCPA-Rechte ausueben, mit begrenzten Ausnahmen.

Wesentliche Anforderungen

  • Gleicher Service
  • Gleiche Qualitaet
  • Hinweise auf finanzielle Anreize

Geschaeftspflichten

Was CCPA/CPRA von betroffenen Unternehmen verlangt

Datenschutzhinweis bei der Erhebung

Verbraucher bei oder vor der Erhebung ueber Kategorien der erhobenen PI und Zwecke informieren

Frist: Bei oder vor der Erhebung

Umfassende Datenschutzerklaerung

Detaillierte Offenlegung der Datenpraktiken, Verbraucherrechte und Kontaktinformationen

Frist: Mindestens jaehrlich aktualisiert

Do-Not-Sell/Share-Link

Klarer und auffaelliger Link auf der Startseite fuer Opt-out aus Verkauf/Weitergabe

Frist: Sofortige Umsetzung

Verfahren zur Anfragenverifizierung

Angemessene Methoden zur Verifizierung der Verbraucheridentitaet bei Rechtsanfragen

Frist: Vor Beantwortung der Anfragen

Datenaufbewahrungsrichtlinien

PI nur so lange aufbewahren, wie es fuer die offengelegten Zwecke vernuenftigerweise erforderlich ist

Frist: Laufende Compliance

Vertraege mit Dritten

Dienstleistervereinbarungen mit erforderlichen CCPA-Bestimmungen

Frist: Vor Datenweitergabe

20-Wochen-Implementierungsfahrplan

Ein praktischer Weg zur CCPA/CPRA-Compliance mit klaren Meilensteinen

Phase 1Wochen 1-4

Datenermittlung

  • Alle Fluesse personenbezogener Informationen kartieren
  • Erhebungspunkte und -quellen identifizieren
  • Geschaeftszwecke dokumentieren
  • Weitergabe an Dritte katalogisieren
Phase 2Wochen 5-8

Hinweis-Compliance

  • Datenschutzhinweis bei der Erhebung erstellen
  • Umfassende Datenschutzerklaerung aktualisieren
  • Do-Not-Sell/Share-Links implementieren
  • Hinweise auf finanzielle Anreize erstellen
Phase 3Wochen 9-14

Rechte-Infrastruktur

  • Verbraucheranfrage-Portal aufbauen
  • Verifizierungsverfahren einrichten
  • Antwort-Workflows erstellen
  • Mitarbeiter in Rechtebearbeitung schulen
Phase 4Wochen 15-20

Betriebsbereitschaft

  • Anfragenbearbeitung End-to-End testen
  • Universelle Opt-out-Signale implementieren
  • Dienstleistervertraege finalisieren
  • ADMT-Offenlegungen dokumentieren

Strafen bei Nichteinhaltung

CCPA/CPRA schafft erhebliche finanzielle und rechtliche Risiken

Zivilrechtliche Strafen

CPPA-Durchsetzungsmassnahmen bei Verstoessen

  • 2.500 $ pro unbeabsichtigtem Verstoss
  • 7.500 $ pro vorsaetzlichem Verstoss
  • Unterlassungsansprueche moeglich

Privates Klagerecht

Verbraucherklagen bei Datenschutzverletzungen (1798.150)

  • 100-750 $ pro Verbraucher pro Vorfall
  • Oder tatsaechlicher Schaden (je nachdem, was hoeher ist)
  • Gesetzliche Schadenersatzansprueche summieren sich schnell

Reputationsschaden

Ueber finanzielle Strafen hinaus

  • Erosion des Verbrauchervertrauens
  • Wettbewerbsnachteil
  • Regulatorische Pruefung

Sammelklagerisiko

Datenschutzverletzungen, die Tausende von Verbrauchern betreffen, koennen zu gesetzlichen Schadensersatzforderungen in Millionenhoehe fuehren. Das private Klagerecht gemaess 1798.150 schafft erhebliche Prozessrisiken selbst bei angemessenen Sicherheitsmassnahmen.

Richtlinienvorlagen

Datenschutz- und KI-Governance-Richtlinien

Zugang zu sofort einsetzbaren Datenschutzrichtlinienvorlagen, abgestimmt auf CCPA/CPRA-, DSGVO- und EU AI Act-Anforderungen

Datenschutzhinweise

  • Datenschutzerklaerungsvorlage
  • Hinweis bei der Erhebung
  • Hinweis auf finanzielle Anreize
  • Do-Not-Sell-Hinweis
  • Dienstleistervereinbarung
  • Cookie-Richtlinie
  • + 3 weitere Vorlagen

Verbraucherrechte

  • Rechtsanfrage-Verfahren
  • Identitaetsverifizierungsrichtlinie
  • Antwortvorlagen fuer Anfragen
  • Opt-out-Verfahren
  • Datenloeschungsrichtlinie
  • Korrekturverfahren
  • + 4 weitere Vorlagen

KI-Offenlegungen

  • ADMT-Offenlegungsvorlage
  • Profiling-Hinweis
  • KI-Systeminventar
  • Richtlinie fuer automatisierte Entscheidungen
  • KI-Risikobewertung
  • Umgang mit sensiblen PI
  • + 2 weitere Vorlagen
Alle Richtlinienvorlagen durchsuchen

Haeufig gestellte Fragen

Haeufige Fragen zur CCPA/CPRA-Compliance

Der CCPA gilt, wenn Sie in Kalifornien geschaeftlich taetig sind und eine von drei Schwellen erfuellen: (1) 25 Mio. $+ Jahresbruttoumsatz, (2) Verarbeitung von Daten von 100.000+ kalifornischen Verbrauchern/Haushalten jaehrlich, oder (3) 50 %+ des Umsatzes aus dem Verkauf von Verbraucher-PI. Das Gesetz gilt unabhaengig davon, wo Ihr Unternehmen physisch ansaessig ist. Siehe die CCPA-Seite des kalifornischen Generalstaatsanwalts fuer offizielle Leitlinien.
CCPA (2018) war Kaliforniens erstes Datenschutzgesetz. CPRA (2020) hat den CCPA mit strengeren Anforderungen ab 1. Januar 2023 erheblich geaendert. Wichtige CPRA-Ergaenzungen: Kategorie sensibler PI, Recht auf Korrektur, Recht auf Einschraenkung, Offenlegungen automatisierter Entscheidungsfindung und Gruendung der California Privacy Protection Agency (CPPA). Bei der Erhoerterung von Compliance gehen Sie von den erweiterten CPRA-Anforderungen aus.
Beide sind umfassende Datenschutzgesetze, unterscheiden sich aber in Umfang und Ansatz. Der CCPA gilt fuer kalifornische Einwohner (40 Mio. Menschen) mit geschaeftsbezogenen Schwellen. Die DSGVO gilt fuer alle EU-Einwohner (450 Mio.+) mit breiterem territorialen Geltungsbereich. Der CCPA hat ein Opt-out-Modell fuer Verkaeufe; die DSGVO erfordert im Allgemeinen eine Opt-in-Einwilligung. CCPA-Strafen sind im Allgemeinen niedriger als die 4 %-Umsatzobergrenze der DSGVO.
Unternehmen muessen auf verifizierte Anfragen innerhalb von 45 Tagen antworten, mit einer moeglichen 45-Tage-Verlaengerung (insgesamt 90 Tage) wenn vernuenftigerweise notwendig. Sie muessen den Verbraucher ueber die Verlaengerung innerhalb der ersten 45 Tage informieren und den Grund erklaeren. Fuer Kenntnisanfragen koennen Verbraucher zweimal pro 12-Monats-Zeitraum kostenlos Anfragen stellen.
Der CCPA definiert Verkauf breit als Offenlegung von PI an Dritte gegen monetaere oder andere wertvolle Gegenleistung. Dies umfasst viele Datenweitergabevereinbarungen, die keine traditionellen Datenverkaeufe sind. CPRA hat 'Weitergabe' fuer kontextueberschreitende Verhaltenswerbung hinzugefuegt. Die meisten Drittanbieter-Analyse-, AdTech- und Datenpartnerschaften loesen Do-Not-Sell-Verpflichtungen aus. Ueberpruefen Sie die Leitlinien des Generalstaatsanwalts, was als Verkauf gilt.
CPRA definiert sensible PI als: SSN, Fuehrerschein, Reisepass, Finanzkontodaten, praezise Geolokalisierung, rassische/ethnische Herkunft, religioese Ueberzeugungen, Gewerkschaftsmitgliedschaft, Post/E-Mail/SMS-Inhalte, genetische Daten, biometrische Daten, Gesundheitsdaten, Sexualleben/-orientierung. Verbraucher haben das Recht, die Nutzung sensibler PI auf Zwecke zu beschraenken, die fuer die Erbringung der angeforderten Dienste erforderlich sind.
CPRA verlangt von Unternehmen, die ADMT nutzen (einschliesslich Profiling), dies in Datenschutzhinweisen offenzulegen und Informationen ueber die beteiligte Logik und die wahrscheinliche Bedeutung der Ergebnisse bereitzustellen. Vorschriften gemaess 1798.185(a)(16) regeln die ADMT-Compliance im Detail. Dies betrifft KI-Systeme fuer Beschaeftigung, Kredit, Wohnung, Bildung und andere folgenreiche Entscheidungen. Siehe unsere EU AI Act-Seite fuer verwandte KI-Governance-Anforderungen.
Verifizierungsanforderungen sind proportional zur Sensitivitaet und zum Risiko der Anfrage. Fuer Kenntnis (Kategorien) verwenden Sie ein zweistufiges Verfahren. Fuer Kenntnis (spezifische Daten) oder Loeschung verwenden Sie ein dreistufiges Verfahren oder eine eidesstattliche Erklaerung. Passwortgeschuetzte Konten koennen sich ueber bestehende Authentifizierung verifizieren. Dokumentieren Sie Verifizierungsmethoden und passen Sie den Sicherheitsgrad an das vernuenftigerweise erforderliche Mass an.
Dienstleistervereinbarungen muessen verbieten: (1) Aufbewahrung, Nutzung oder Offenlegung von PI fuer andere Zwecke als die Erbringung von Dienstleistungen, (2) Aufbewahrung, Nutzung oder Offenlegung von PI ausserhalb der direkten Geschaeftsbeziehung, (3) Kombination von PI mit anderen PI, es sei denn, dies ist erlaubt. Vertraege sollten erlaubte Zwecke angeben, Loeschung/Rueckgabe von PI erfordern, Pruefungen ermoeglichen und Weitergabe an Unterauftragnehmer vorschreiben. Siehe Anforderungen gemaess 1798.140(w).
Ja, Unternehmen muessen Browser- oder Geraetesignale erkennen, die eine Opt-out-Praeferenz kommunizieren (wie Global Privacy Control). CPRA verlangt, diese Signale als gueltige Do-Not-Sell/Share-Anfragen zu behandeln. Sie muessen in Ihrer Datenschutzerklaerung offenlegen, wie Sie Opt-out-Signale verarbeiten, und sie mindestens 12 Monate lang beachten.
Die California Privacy Protection Agency (CPPA) kann zivilrechtliche Strafen von 2.500 $ pro unbeabsichtigtem Verstoss oder 7.500 $ pro vorsaetzlichem Verstoss verhaengen. Verbraucher haben auch ein privates Klagerecht gemaess 1798.150 bei Datenschutzverletzungen, wobei 100-750 $ pro Verbraucher pro Vorfall oder tatsaechlicher Schaden geltend gemacht werden koennen. Verstoesse, die Tausende von Verbrauchern betreffen, koennen schnell zu Millionenbetraegen fuehren.
Ja, VerifyWise bietet Verwaltung von Verbraucherrechtsanfragen, Datenbestandstools, Datenschutzhinweis-Generatoren und ADMT-Offenlegungsverfolgung, abgestimmt auf CCPA/CPRA-Anforderungen. Unsere Plattform integriert sich mit DSGVO, EU AI Act und anderen Datenschutzrahmenwerken fuer umfassendes Compliance-Management.

Bereit fuer CCPA-Compliance?

Starten Sie die Verwaltung von Verbraucherrechtsanfragen, Datenbestaenden und Datenschutzhinweisen mit unserer Compliance-Plattform.

Compliance-Bewertung startenBeratung vereinbaren
CCPA and CPRA compliance requirements guide